2022.03.10.

Digitális ügyfélazonosítás 2022-ben. Válaszok a felmerült kérdésekre

Szerző:

Az idei év két szempontból is meghatározó a pénzügyi szektor számára. Egyrészt 2022. január 1-től a Központi Azonosítási Ügynök (KAÜ) ügyfél-átvilágítási célokra is használható, másrészt hatályba lépett a Ptk. írásbeliségre vonatkozó új szabálya, ami befolyásolhatja a távoli szerződéskötés folyamatát. Február végén a FinTechZone webináriumán a Magyar Nemzeti Bank, a Magyar Bankszövetség és a Comnica szakembereivel közösen körbejártuk, mit jelentenek az idei évi változások a pénzügyi szektor számára. A webináriumon számos kérdés is felmerült, amelyekre az előadókkal közösen összeállítottuk a válaszokat.

Február végén a FinTechZone webináriumán Szegfű Lászlóval, a Magyar Nemzeti Bank informatikai felügyeleti osztályvezetőjével, dr. Bógyi Attilával, a Magyar Bankszövetség munkacsoport elnökével és Horváth Gergellyel, a Comnica üzletfejlesztési igazgatójával körbejártuk, mit jelent a KAÜ alkalmazása a pénzügyi szektor számára, illetve hogyan érinti a Ptk. módosítás a távoli szerződéskötés eddigi gyakorlatát. Emellett bemutatásra kerültek a lakosság digitális ügyintézési szokásait bemutató friss kutatási eredmények is.

A webináriumon több mint 400 iparági szakember vett részt, akik számos kérdést tettek fel. Az alábbiakban az előadókkal közösen összeállítottuk a válaszokat azokra a kérdésekre, amelyek megválaszolására nem maradt idő a webináriumon.

A webináriumról az összefoglaló cikk itt érhető el. A magyarok digitális ügyintézési szokásait bemutató „Banki és biztosítási ügyek: távolról, személyesen” c. e-book itt érhető el. A webinárium résztvevői március végéig visszanézhetik a webinárium teljes felvételét.

  1. „Az írásbeli nyilatkozatok, szerződéskötések esetében az AVDH-val (ügyfélkapun keresztül) való aláírás és hitelesítés elterjedésének milyen gátló tényezői vannak a mindennapokban?”

Az AVDH kapcsán két olyan pont van, amelyek fejlesztése esetén alkalmassá válhat arra, hogy a banki szerződéskötési folyamatokban is általánosságban alkalmazzák a megoldást:

  • A bankok által alkalmazott erős ügyfélhitelesítési megoldásokhoz hasonló biztonsági szint biztosítása érdekében a jelenlegi egy faktoros azonosítást célszerű kiegészíteni egy további faktorral (azzal, hogy a csatornát, amin átadásra kerül, előzőleg validálni szükséges).
  • A szolgáltatás banki folyamatokba való integrálása nem megoldott, a jelenlegi formájában az AVDH-s hitelesítés jelentős kompromisszumokkal tehető a szerződéskötési folyamat részévé. Egyes intézmények esetén (pl. Diákhitel, Garantiqa) a folyamatba építés már megtörtént, ami példaként szolgálhat a szektor többi szereplője számára is – azonban ennek a jogi és informatikai lehetőségét is meg kell teremteni.

További kérdéseket vet fel, hogy az így hitelesített dokumentumokra nem az ügyfél, hanem a NISZ elektronikus aláírása (bélyegzője) kerül.

A fentiek esetén az AVDH kétségtelen előnyei (a Pp. teljes bizonyító erejű magánokiratként fogadja el az így tett jognyilatkozatot, ingyenesség, az Ügyfélkapun keresztül kiterjedt ügyfélkör fér hozzá) kihasználhatók lennének.

  1. SSI (Self Sovereign Identity) elterjedése és megvalósítása az ügyfélazonosítás, illetve személyes adatok kezelése területén mikortól várható?

Ez nagy valószínűséggel nem mostanában lesz. A technológia rendelkezésre áll, több pilotot is láthattunk már szerte a világon a pénzügyi piacon KYC alkalmazásra, de a jogi és államigazgatási környezet nem áll erre készen jelenleg hazánkban. Vélhetően első lépésként a beszállítóknak kellene kezdeményezni az MNB Innovation Hubnál a technológia részletes bemutatását.

Fontos megjegyezni, hogy a kockázatokkal arányosan elvárt, hogy amikor egy új entitással kerül kapcsolatba egy ügyfél, az első alkalommal mindenképp történjen meg a személyazonosságának igazolása úgy, hogy a bemutatott személyazonosító okmányában szereplő fényképet hasonlítsuk össze az élőképével, akkor is, ha van nála egy „egy authentikátor mind felett”.

  1. Selfie azonosítás esetén egyetlen, folyamatos videófelvétel az elvárt, vagy az egyes bizonyítékelemek lehetnek önálló videorészletek, vagy fotók?

Selfie azonosítás során a munkamenetet kell rögzíteni. A 26/2020 (VIII.25.) MNB rendelet (Rendelet) 9. § (1) bekezdésben foglaltak szerint.

A munkamenet rögzítésének célja, hogy utólag is hitelt érdemlően igazolható legyen az ügyfél-átvilágítás megfelelősége. Ennek során olyan tevékenységek elvégzésére is szükség lehet (pl. okmány biztonsági elemek vagy élőségvizsgálat), amelyek megkívánják a videó rögzítését, a teljes munkamenet részeként.

  1. KAÜ-s azonosításnál elhangzott, hogy 2 faktoros hitelestés kell, ami jelenleg nem érhető el. Ez akkor azt jelenti, hogy ez még most nem használható fel azonosítási célokra?

A KAÜ azonosítás során a Rendelet 13. § (2) bekezdés a) pontja miatt a szolgáltató az elektronikus azonosítási szolgáltatás során köteles az eIDAS 8. cikk (2) bekezdése szerinti „jelentős” vagy „magas” biztonsági szintű elektronikus azonosítást megkövetelni. Ez azt jelenti, hogy a szolgáltatást 2 faktoros authentikációs megoldással kell kérni (biztosítani) a KAÜ-től.

A fentebb említett eIDAS 8. cikk (2) bekezdésnek is megfelelő kétfaktoros authentikációra a NISZ két megoldást nyújt. Az egyik az e-személyis azonosítás, a másik pedig az arcképes azonosítás, amely egyszeri videós, élő ügyintézővel támogatott regisztrációt követően a későbbiekben önkiszolgáló módon használható, okmány felmutatásával, arckép készítéssel és kacsintással történő élőségvizsgálattal működik.

Ezeken felül folyamatban van egy, az ügyfélkapus felhasználónév/jelszavas beléptetés mögötti második faktor fejlesztése, erről azonban nem érhetők el publikusan további információk.

  1. e-Személyi e-Pass esetén mi biztosítja, hogy az igazolványról kiolvasott adatok nem visszajátszva vannak egy támadó által?

Az e-személyin elektronikusan tárolt adatokat magával az auditált hírközlő eszközzel kell kiolvasni, (ez önmagában elvárás). Az adatokat a kiállító hatóság hitelesíti, ezt a Rendelet szerint a beolvasást követően ellenőrizni kell.

A selfie azonosítás során az élőképet kell összehasonlítani az okmányt kiállító által aláírt, hiteles adatokkal, a bemutatott okmány érvényességét (nem csak dátum szerint) pedig közhiteles nyilvántartásból is le kell kérdezni. A visszajátszás ebből a szempontból arányaiban – megítélésünk szerint – nem növeli érdemben a kockázatot.

  1. Van-e lehetőség a KAÜ ügyfél azonosítási szolgáltatást ingyenesen alkalmazni és beépíteni különböző vállalati folyamatokba – olyanba is, ahol nincs szükség PMT szerinti átvilágításra pl. Ügyfél portálra való belépés, vagy írásbeliséghez kötődő jognyilatkozatoknál (ki?, mikor?, mit?) – annak igazolására, hogy ki tette meg az adott jognyilatkozatot?

Jelenleg az e-ügyintézési törvény rendelkezései szerint lehet igénybe venni a szolgáltatásokat, ez egyelőre az új szabályozás szerint a 42/B. §-ban meghatározottak köre számára díjmentes.

  1. Látnak-e lehetőséget a KKV szektor vonatkozásában a pénzügyi szolgáltatási szerződések elektronikus úton (elsősorban videobank / KAÜ útján) történő írásbeli megkötésére, figyelemmel a cégjegyzés jelenlegi szabályaira is?

Ezzel kapcsolatosan megoszlanak a vélemények. Általánosságban elmondható, hogy az ilyen jellegű jognyilatkozatok kapcsán alapvető elvárás, hogy annak tartalmából egyértelműen megállapítható legyen, hogy azt a nyilatkozatot tevő az adott cég képviseletében tette meg. Ebben az esetben az AVDH is alkalmas lehet a cégjegyzési jog gyakorlására.

Figyelemmel kell lenni azonban arra is, hogy a központi kormányzati szolgáltatásokat jellemzően magánszemélyek, magánszemélyként történő ügyintézésére fejlesztették, ezért érdemes tájékozódni, hogy cégek milyen feltételekkel vehetik igénybe azt.

  1. Jól sejtem-e, hogy a PSD2 miatt a KAÜ-nél megjelenő 2FA is csak akkor lenne elegendő a banki szektor számára, ha a “dynamic linking” követelmény is teljesülne? Azaz, mint SMS-eknél is minden tranzakciónál (itt: ügyfél-átvilágítás miatt történő KAÜ-belépésnél és -adatlekérdezésnél) egyedi egyszeri jelszót kellene generálni? Vagy a KAÜ-nél az egyszerűbb 2FA (pl. nyílt szabványos TOTP, mint a Google Authenticator) is elegendő lenne (ami egy adott időintervallumban használható, de ezen belül, ha több tranzakció van, akkor már nem egyedi)?

A KAÜ esetén a 2FA-t a kormányzati szolgáltató feladata biztosítani (vö. 6. pont).

(Megjegyzés: célszerű lenne, ha az nem a Google Authenticator volna).

  1. A Ptk. szabályozás ugye csak azon jognyilatkozatokra vonatkozik, ahol írásbeliség az előírás. Ugyanis van a tartós adathordozó meghatározás is a befektetési ügyletek esetében.

A jogalkotó jogértelmezése alapján az új Ptk. előírás azokra a jognyilatkozatokra vonatkozik, ahol az írásbeliség mellett jogszabály további okiratisági elvárás fogalmaz meg (pl. közokiratba, teljes bizonyító erejű magánokiratba foglalást).

Azokban az esetekben, ahol az írásbeliségen túl további követelmény nem fogalmazódik meg (a Hpt.279. § alapján ez a legtöbb Hpt. hatálya alá tartozó jognyilatkozatra igaz), ott továbbra is a Ptk. 6:7. § (3) bekezdésének hármas kritériumrendszerét kell alkalmazni.

  1. KAÜ és e-személyivel történő azonosítás egyforma erősségű?

Amennyiben az “erősség” alatt azt értjük, hogy azonos joghatással bír az auditált elektronikus hírközlő eszközzel történő ügyfél-átvilágítás során, úgy igen.

  1. Jó lenne azért, ha az e-személyihez kapcsolódó elektronikus aláírás funkció időszakos meghosszabbítása nem igényelne személyes megjelenést a kormányhivatalban, várható-e ebben előrelépés?

Egytértünk abban, hogy az e-személyi aláírás funkciójának használatát támogatná, amennyiben az aláírás érvényességi idejének meghosszabbítását nemcsak személyesen, hanem elektronikus úton is kezdeményezni lehetne.

Fontosnak gondoljuk azonban, hogy a meghosszabbításhoz ne legyen elégséges maga az aláíró tanúsítvány használata, hanem ténylegesen újból történjen meg a személyazonosság igazoló ellenőrzése is (akár távoli megoldással persze). Az aláíró tanúsítvány kompromittálódása nagyon nagy kockázat, megítélésünk szerint ezzel arányos kényelmetlenség, ha 2 évente újra azonosítják (távolról) az ügyfelet.

Címlapfotó: stock.adobe.com | Licenc: FinTech Group

Címkék: